【F-board】PHP-J閉鎖【スパム】

[0001 nobodyさん 2006/05/14(日) 06:04:37 ID:???]

なんかF-board狙い撃ちのスパムがきてるわけで、
あわててPHP-Jみたら閉鎖・・・。

まぁスパム回避はそれほど難しいものじゃないものの、
人それぞれやり方があるだろうし、ｵﾏｲﾗはどうしてますか？

本家のサポートログも消えちゃってこれから面倒ですが、
ボチボチとやっていきましょう。

PHP-J
http://www.php-j.com/
PHP-J.comブログ
http://phpj.jugem.cc/

[0002 nobodyさん 2006/05/14(日) 06:15:47 ID:???]

PHP-J閉鎖のスレなんだかSPAM対策のスレなんだか。
うちはBBQ任せだけど、幸いそれだけで防げてる。

[0003 nobodyさん 2006/05/14(日) 06:22:29 ID:???]

おお、半日はレス無いと思ってたのに。
BBQも考えたんだけど、うちはひとまず入力必須の欄を一つ増やして対応してみた。
いまはそれで何とかなってるみたい。

誰かサポートのログ保存してるような奇特な人はおらんかね。
あれ結構重宝してたんだよなぁ。

[0004 nobodyさん 2006/05/14(日) 08:58:55 ID:???]

PHPがどんなサイトか知らんが、
スパム如きで閉鎖するなんて人のこと全く考えてないんだな、管理人は。

[0005 4 2006/05/14(日) 08:59:45 ID:???]

PHP-Jだったね

[0006 nobodyさん 2006/05/14(日) 09:01:38 ID:???]

新規でF-board使ってみたいんだけど閉鎖でダウンロードできない。
どこかで再配布してませんかね？

[0007 nobodyさん 2006/05/14(日) 09:46:53 ID:???]

スパムがある日突然くるようになって、
閉鎖もほぼ同日だったんじゃないかな。今月の５日前後かな？

再配布はどうなんだろうね。
まだサイト消えて間もないから、そういうとこはないんじゃないかなぁ。

[0008 6 2006/05/14(日) 09:54:13 ID:???]

>>7

どもです。
自分でやってみたのは以下の通りです。

WebArchiveを漁ってみる・・・F-boardのアーカイブファイルはNot Found
php-j.comでダウンロードのURLに直接アクセスしてみても・・・Not Found

ショボーソ

[0009 6 2006/05/14(日) 10:01:08 ID:???]

>>3

そうそう。
言い忘れてましたが、WebArchiveでF-Boardサポート板の内容残ってましたよ。
但し、2005年02月28日18:45:04までの物なので古いですが。

http://web.archive.org/web/20050323014002/www.php-j.com/forum/

[0010 nobodyさん 2006/05/14(日) 10:19:46 ID:???]

>>9
ｳﾎｯ、いいログ・・・。

お礼にf-boardの本体うｐしたいところではあるんだが、
俺のローカルに置いてるやつは改造しまくっててダメぽ('A`)
もはや、どこをいついじったのかすらわからん状態。

[0011 6 2006/05/14(日) 11:09:28 ID:???]

>>10

改造されたものでも構わないのでうｐしてもらえませんか？
ダメならいいですが。

（うｐしていただけるならオリジナルと異なる点も教えていただけるとなおありがたいです）

[0012 nobodyさん 2006/05/14(日) 21:24:49 ID:???]

>>3
ここにいくつか対策方法あげられてるね
http://zapanet.info/blog/item/747/catid/17
結局3と同じように、入力必須の欄を一つ増やしてるみたいだけど

[0013 nobodyさん 2006/05/14(日) 21:29:40 ID:???]

>>4
本当にひどいね
せめてログ残すとか、人として最低限のことやっといて欲しかったね

[0014 nobodyさん 2006/05/14(日) 23:08:51 ID:???]

これが成り立ってる、間違いない

　　　　┌──────金─────┐
　　　　│　　　　　　　　　　　　　　　　 　↓
　- - - - - - - - - - -裏- - - - - - - - - - - -
┌───────┐　 　 　 　 ┌──────┐
│ 対策ソフト企業 ├─攻撃→│ ウィルス作者 │
└───────┘　 　 　 　 └───┬──┘
　 　 　 ↑ 　 　 　 　 　 　 　 　　　　 　 　　 │
　感謝・金　　　　　　　　　　　　　　　　　　 攻撃
　 　 　 │ 　 　 　 　 　 　 　 　　 　　　 　 　↓
┌──┴───────────────┐
│　　　　　　　　　　　市　　民　　　.　　　　　　　│
└──────────────────┘

[0015 nobodyさん 2006/05/15(月) 05:26:28 ID:???]

掲示板作者本人の攻撃だったら笑えるな。
スパム発生と閉鎖がほぼ同時期なわけで、
いがいとありえる話なんでないの。

[0016 nobodyさん 2006/05/15(月) 07:11:01 ID:???]

>>15
その線が強いな。
普通、スパムが沸いたくらいであんなにスッパリ閉鎖せんよ。

[0017 nobodyさん 2006/05/17(水) 15:00:03 ID:???]

廃れてるな。
あんまり使ってる人おらんのかな？

[0018 nobodyさん 2006/05/23(火) 11:25:19 ID:???]

phpBBのほうがまだマシだよ

[0019 nobodyさん 2006/05/23(火) 13:02:41 ID:???]

>>18
phpBBはサーバーごと乗っ取られるぞ

[0020 nobodyさん 2006/05/25(木) 01:48:10 ID:???]

>>19
ずいぶん前のバージョンの話だよ。

[0021 nobodyさん 2006/06/03(土) 15:35:57 ID:JBlVFVz+]

>>6
閉鎖したってことは、もうF-boardの面倒みないのかな？
残されたユーザーで、ほそぼそとメンテナンス＆再配布をやってみますか？

[0022 nobodyさん 2006/06/03(土) 22:23:55 ID:???]

再配布すんなよ。

[0023 nobodyさん 2006/06/04(日) 02:27:39 ID:gUzo7/y/]

http://pantora.net/pages/php/f-board/

F-boardという人気の掲示板を攻撃するワームが一部で流行っています。
片手間で管理しているFedora JP 掲示板も攻撃されました。
SQLを直接実行しメッセージを削除しても、スレッド更新日時は元に戻りません。
配布元のPHP-J.comは閉鎖してしまいました。

そこで更新日付を元に戻すPHPスクリプト「fix_moddate.php」を作成しました。
少々時間のかかるスクリプトなのでターミナルから実行してください。
ダウンロード：fix_moddate.tar.gz

[0024 nobodyさん 2006/06/04(日) 02:34:53 ID:gUzo7/y/]

http://zapanet.info/blog/item/747/catid/17

いろいろと改善方法を取ることができましたが、今回取ったのはとても簡単な方法で、「投稿前のチェックボックスを一つ追加」しただけです。
チェックボックスにチェックが入っていないとエラーになって投稿できないようにしました。
この掲示板はPHPとMySQLで作られているタイプなので改造も比較的簡単でした。

[0025 nobodyさん 2006/06/04(日) 04:12:20 ID:???]

セキュリティーホールがあったの？スパムに狙われてるだけ？

[0026 nobodyさん 2006/06/04(日) 11:25:03 ID:???]

>>25
セキュリティーホールはないよ

[0027 nobodyさん 2006/06/04(日) 11:33:46 ID:gUzo7/y/]

メッセージを投稿する部分を改造する場合、
/post.php
/lib/widget/default/WidgetPost.php
をいじればいいみたいですね。

WidgetPost.phpのコード（WidgetPostクラス）を見ると、HTMLが埋め込まれているので、トレースするのがちょっと面倒くさいです。
デザインテンプレートシステムを導入して、デザインとロジックを分離した方がメンテナンスしやすいですね。

http://www.itmedia.co.jp/enterprise/0402/19/epn01.html

[0028 nobodyさん 2006/06/04(日) 12:06:24 ID:gUzo7/y/]

>>24
●投稿時の入力項目として、チェックボックスを一つ追加する方法を検討

(1) チェックボックス（□にレ印を入れるやつ）の表示を追加する
/lib/widget/default/WidgetPost.php
の175行目付近（パスワード入力欄の表示位置の直下）に、

$htmlString .= '
<tr>
<td class=row1><b>投稿確認</b></td>
<td class=row2><input type="checkbox" name="confirm">投稿時にチェック（レ印）を入れてください。</td>
</tr>';

というコードを追加する。
＝「confirm」という名前のチェックボックスを１個追加した。
＝違う場所に表示させたければ、コードを追加する場所を適宜変更

[0029 nobodyさん 2006/06/04(日) 12:07:32 ID:gUzo7/y/]

(2)スレッドに新規投稿時の確認処理追加
投稿ボタンをクリックすると、
<form action="post.php" method="POST" name=message>
<input type="HIDDEN" name="act" value="submitThread">
という動作になっている。

/post.php
の112行目付近に、

$confirm = PreVar::getVar('confirm','POST');

というコードを追加する。
＝（1）で追加した「confirm」の値のチェック処理を追加

/post.php
の124行目付近に、

$fv->isEmpty($confirm,'投稿確認が未チェックです。');

というコードを追加する。
＝チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加

[0030 nobodyさん 2006/06/04(日) 12:08:27 ID:gUzo7/y/]

(3)スレッドに返信時の確認処理追加
投稿ボタンをクリックすると、
<form action="post.php" method="POST" name=message>
<input type="HIDDEN" name="act" value="submitReply">
という動作になっている。

/post.php
の198行目付近に、

$confirm = PreVar::getVar('confirm','POST');

というコードを追加する。
＝（1）で追加した「confirm」の値のチェック処理を追加

/post.php
の210行目付近に、

$fv->isEmpty($confirm,'投稿確認が未チェックです。');

というコードを追加する。
＝チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加

[0031 nobodyさん 2006/06/04(日) 12:11:23 ID:gUzo7/y/]

以上の3点の修正で、投稿時にチェックボックスの入力項目（レ印）が１個追加できます。

チェック方式を変更する場合、
/lib/class_FormValidator.php
のFormValidatorクラスに、新たなメソッドを追加すればＯＫだと思います。

上記(1)〜(3)のチェックは、FormValidatorクラスのisEmptyメソッド（空値のチェック）をそのまま利用しています。

http://zapanet.info/blog/item/747/catid/17
・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう

これをやるなら、PEARライブラリのCAPTCHAとかを利用できそうですね。
http://www.doyouphp.jp/sample/sample_others_captcha.shtml
CAPTCHA α版のセキュリティは、まだ十分ではないようですが。
http://cl.pocari.org/2006-02-11-2.html

他の改善案があれば、報告よろしくお願いします。m(_~_)m

[0032 nobodyさん 2006/06/04(日) 12:16:27 ID:???]

>>31
ワンタイムチケット持たせりゃ良いんじゃない？
2ch見たくクッキー喰わせるだけでも・・・

利用者は何も変わらないし

[0033 31 2006/06/04(日) 13:04:02 ID:gUzo7/y/]

>>32
kwsk!!

【補足】
/lib/widget/default/WidgetPost.php
の165行目付近
if($this->_var['allowPass'] == true || $messInfo != ''){
…
}
みたいなかんじの条件分岐を入れて、チェックボックスの表示／非表示を切り替える処理があった方がよかったみたいですね。

＝メッセージの編集／削除の処理では、チェックボックスの値確認処理(上記の(2)や(3)のような処理)を入れてないので、チェックボックスが表示されても意味なし。

まぁ、新規投稿時に、ワームによる自動書込みが抑止されればそれでOKとしますか。orz

[0034 nobodyさん 2006/06/04(日) 13:15:00 ID:???]

>>32
スパマーがクッキー食ってたら意味無いような？？

>>31
逆襲さん、おつかれ

[0035 nobodyさん 2006/06/04(日) 13:17:17 ID:gUzo7/y/]

>>ワンタイムチケット

CSRF対策 PHP
http://techtech.jp/jdl/weblog/blog/1383/1051

サテ技本のCSRF対策に疑問
http://p0t.jp/mt/archives/2005/12/csrf_1.html

↑こういう処理を追加すればいいのかな？

[0036 nobodyさん 2006/06/04(日) 13:51:29 ID:???]

>>34
ワンタイムチケットなら毎回投稿画面を開かなきゃダメなので効果はかなりあるかと

>・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう
これはかなり解りにくい画像を作らないと、昔の垢取りツールでも、画像解析あったし・・・

どの道、人がやれる事なのでコンピュータにやらせることも不可能じゃないので完璧な対策は難しいと思う
なので、簡単で比較的効果の高そうな方法が良いかと

#f-boardぐらいならスクラッチしちゃっても良いんじゃないかと思ったり

[0037 nobodyさん 2006/06/21(水) 13:37:39 ID:???]

>>35
第三版で修正されてるよ。

[0038 nobodyさん 2006/07/20(木) 08:20:23 ID:???]

※下記ホストをアクセス規制するとマジでいいです。

*marunouchi.tokyo.ocn.ne.jp
*.d-osaka.nttpc.ne.jp
*.o-tokyo.nttpc.ne.jp
*.osk.mesh.ad.jp
*.dy.bbexcite.jp
*.vectant.ne.jp
*.ap.highway.ne.jp
*.fbb.reset.jp
*.ppp11.odn.ad.jp
*.channel4.com
*.ap.gmo-access.jp
*.ap.kagoya.net
*.ap.yournet.ne.jp

http://photo.site-j.net/tubuyaki/vol239.html

[0039 nobodyさん 2006/08/25(金) 09:56:00 ID:23HGiUnU]

スパムがチェックボックスに対応してきたﾖｶﾝが

[0040 nobodyさん 2006/08/25(金) 15:58:59 ID:???]

>文字列画像を生成して、その文字列を投稿者に入力してもらう
そこで、ひらがなさんすうですよ。

りんごよんこふたりでわけるとひとりいくつ？[__]個

[0041 nobodyさん 2006/08/25(金) 19:27:20 ID:???]

にじゅうさんひくきゅうは？
とかね。
頭があれだといつまで経ってもコメントできないけどｗ

[0042 nobodyさん 2006/08/26(土) 06:31:13 ID:XSjvDqhW]

>>36
自分の場合はPerlなんだけどgifcat.pl（画像連結）とcrypt（DES暗号）で、
そういうの作ったんだけど、１ヶ月で突破された(;´Д｀)

やっぱIPと禁止ワードで極め撃ちするしかないかなぁ

[0043 nobodyさん 2006/08/26(土) 13:48:10 ID:???]

>>41　彼女のおかげで勝てました

[0044 nobodyさん 2006/09/02(土) 16:58:46 ID:???]

ttp://www.php-j.com/

[0045 nobodyさん 2006/09/05(火) 01:58:08 ID:???]

現在跡地に残っているv0.4（テンプレート式）を誰かが受け継いで
改良＆サポートのサイトを作ってくれるとうれしいYO

[0046 nobodyさん 2006/09/06(水) 10:15:54 ID:???]

>>45
PerlだったらやってもいいけどPHPは（自分には）ムリス。

[0047 nobodyさん 2007/02/21(水) 23:56:37 ID:iVzRhDcw]

F-boardの0.4持ってる人アップよろ。

[0048 nobodyさん 2007/03/03(土) 12:57:42 ID:???]

ttp://www3.rocketbbs.com/220/budda146.html

[0049 nobodyさん 2007/04/08(日) 12:22:08 ID:???]

>>48
http://www.youtube.com/watch?v=9-SRV3HfwQc

[0050 nobodyさん 2007/12/11(火) 10:09:44 ID:S9FFsrxH]

ほんと、以下のようなサイトがあるから、困ったもんだ。悪質すぎ
誰か通報してよ

http://www.ikeike-gogo.net/
http://zya-na.com/zzz/
http://yoru-koibito.com/

[0051 nobodyさん 2008/02/23(土) 12:34:48 ID:???]

F-boardの改良版があるようです。

ttp://script.phpspot.org/
2007年04月13日
F-board Mix - 2007/04/13 12:48:52
フォーラム型掲示板、「F-board」のデザイン、機能、スパム対策の改良版

ttp://script.tvgameclear.com/
『F-board Mix』はPHP-Jで配布されていたフォーラム型掲示板『F-board』のデザイン及び機能を変更したPHPスクリプトです。
CGIに比べてサーバーへの負荷も少なく、設置も非常に簡単です。

1つのフォーラムで複数のスレッドの管理が可能。
各スレッドのロック。（管理画面）
メッセージ検索。
連続投稿防止。
URL自動リンク。（管理画面）
海外からの投稿防止。（スパム対策ファイル使用時）
タイトル、名前の文字数制限。
F-board（PHP-J）からのデザイン、機能変更が可能。※1
※1タイトル、名前が長い書き込みがある場合は、デザインがおかしくなる場合があります。

[0052 JEpeetrwdyCpWwaxBkr 2009/09/02(水) 15:35:22 ID:???]

RH2uEs http://buyhydrocodoneno.photo-weblog.com/ sdgvsd

[0053 AYAQiVaG 2009/10/23(金) 05:34:38 ID:???]

This answer helps divide the long-term arcs into two categories: plot arcs that posit enigmas and mysteries, and relationship or character arcs that are more clearly delimited in the moment. ,

[0054 忍法帖【Lv=40,xxxPT】(5+0：8) 【25.5m】 電脳プリオン ◆3YKmpu7JR7Ic 2012/11/11(日) 23:06:53.62 ID:???]

ブログ8年更新なし？

[0055 nobodyさん 2017/12/30(土) 13:53:22.37 ID:YhlYw6jg]

誰でも簡単にネットで稼げる方法など
参考までに、
⇒　『半藤のブブイウイウレレ』 というサイトで見ることができます。

グーグル検索⇒『半藤のブブイウイウレレ』

0NDL40HJJO

[0056 nobodyさん 2019/05/09(木) 02:26:48.45 ID:HHcYDMUs]

phpについて役立つ情報とか
http://mevius.5ch.net/test/read.cgi/tech/1557329831/l50

NUV